Acces a mon rpi depuis le bout du monde

Routage de ports, récupération de météo, accès depuis votre smartphone bref tout ce qui permet à Domoticz d'être conecté à Internet se passe ici.
Répondre
samourai47
Messages : 255
Enregistré le : 04 déc. 2018, 19:44

Acces a mon rpi depuis le bout du monde

Message par samourai47 »

Hello
Je souhaite eventuellement pouvoir acceder à mon rpi en mode soit vnc, soit console putty en etant a l'autre bout du monde par exemple

J'ai bien reussi a faire cela en local, configurer domoticz avec une adresse de type monsite.duckdns.org pour acceder depuis l'exteireur

mais je ne comprends pas comment faire pour prendre la main à distance et faire par exemple un apt update ou autre....
Surtout quels ports maper etc etc...
Un peu d'aide sera la bienvenue

Merci

lost
Messages : 662
Enregistré le : 12 nov. 2016, 11:01

Re: Acces a mon rpi depuis le bout du monde

Message par lost »

Le VNC en direct est à éviter: Ce protocole n'est pas sécurisé et à réserver à un usage réseau local... ou distant, mais en utilisant un tunnel SSH.

Donc, au final, console ou graphique, il faut se ménager un accès distant SSH! Puis derrière, entre possibilités de tunnels classiques (pour du VNC par exemple) et dynamiques (= proxy socks), on peut quasiment tout faire...

Si l'IP récupérée pour le DNS est OK, qu'en réseau local c'est OK aussi, c'est qu'il manque une config à la box. Selon qu'on est en IPV4 ou IPV6, il faudra soit ajouter une règle NAT (port 22 en entrée, ou un autre plus discret, vers port 22 de l'IP locale domoticz) ou firewall (ouvrir le port 22, point de redirection ici: Port entrée=sortie impérativement).

Attention toutefois car le SSH est très attaqué. Pour ma part, il n'est pas accessible directement et un peu surprotégé:

Déjà le port 22 du SSH est protégé par le firewall du PI hébergeant Domoticz (via ufw): Il est en effet plus aisé de débloquer/bloquer à ce niveau dynamiquement l'accès ouvert côté box...

Quand j'étais encore en IPV4, j'utilisais knockd: Il fallait tenter un accès à une séquence de ports déterminée pour débloquer le port ssh niveau FW PI pour la seule IP externe demandeuse, pendant un temps configurable permettant d'établr la connection ssh. Mais knockd n'a pas de support IPV6.

Depuis que je suis en IPV6, j'ai simplement un déblocage du ssh via un switch virtuel pour 30s et un script appelé au on/off et un auto-off après 30s niveau config switch: Il faut donc s'authenfifier à l'interface https et manipuler ce switch avant de pouvoir établir une connexion ssh dans les 30s qui suivent.

Au delà de ça, j'ai aussi fail2ban installé: Au cas ou ce qui est ci dessus déconne, au moins ceux qui tentent du bruteforce seront rapidement bloqués.

La config sshd ne permet pas l'accès direct root et est restreinte à l'utilisateur sous lequel tourne domoticz, qui n'est pas le "pi" par défaut d'une installation raspbian: Cet utilisateur est en effet très ciblé, comme tous les utilisateurs par défaut, par les robots faisant du bruteforce ssh. Si ce changement n'a pas été fait avant installation de domoticz, ce sera plus difficile à changer. Laisser tel quel est possible avec les mesures ci-dessus, mais blinder encore plus le mot de passe...

On pourrait aussi n'accéder que par clef ssh, mais il faut être certain d'avoir toujours sa clef sur soi ou n'accéder que depuis une machine à soi préconfigurée: Difficile en pratique à mon sens.

Avant d'ouvrir quoi que ce soit niveau box, il faut impérativement installer fail2ban et avoir un mot de passe très fort (voir carrément une passphrase): Avec un utilisateur pi facile à deviner et un mdp trop simple, cela peut être l'affaire de qq secondes/minutes.

Pourquoi ca va aller direct à tenter l'utilisateur pi?

Cf banière ssh:

Code : Tout sélectionner

Linux NOM_DU_PI 5.10.63-v7+ #1488 SMP Thu Nov 18 16:14:44 GMT 2021 armv7l
Version linux d'une raspbian 10 sur architecture armv7l, on sait avec 99.9% de probabilité sur quoi on tombe!

Par contre, pour faire des MAJ automatiques, le paquet unattended upgrades peut suffire sans demander accès externe.

Keros
Messages : 2599
Enregistré le : 23 juil. 2019, 20:57

Modération

Message par Keros »

Sujet déplacé dans la section Domoticz et Internet

jackyhi
Messages : 60
Enregistré le : 09 mai 2016, 23:49

Re: Acces a mon rpi depuis le bout du monde

Message par jackyhi »

Je viens de réaliser l’installation d’un serveur OpenVpn pour protéger mon réseau Domoticz de l’extérieur tout en ayant un accès avec un client VPN installé sur mon smartphone.
J’ai accès à mes serveurs comme si j’étais chez moi avec les mêmes IP et Ports après avoir lancé le client VPN sur mon smartphone et avoir entré le mot de passe du VPN.
Je tape l’adresse du type : 192.168.x.x1 :8080 dans un navigateur sur le smartphone.
Et quand j’ai fini je ferme le client VPN du smartphone, ça fonctionne à merveille. :P :P
J’ai donc supprimer les règles NAT de redirection des ports de mes serveurs Domoticz et j’ai redirigé le port du VPN 1194 en UDP
J’ai utilisé le très bon tuto de Anderson69S pour installer mon serveur OpenVPN sur un Rpi2 dont voici le lien : ;)

https://anderson69s.com/2017/03/18/domo ... que-diy/9/

Voici l’organigramme de mon installation :Image
Raspberry Pi 3, RFXCom, 6 volets BLYSS, 10 sondes Temp_humid , Custom page, Gateway Mysensors, RFLINK 433MHz, modules Zwave capteurs portes, 1 sonde Oregon Attiny85, Alarme avec 2 sirènes protocole BLYSS maison, Thermostat NETAMO

jackyhi
Messages : 60
Enregistré le : 09 mai 2016, 23:49

Re: Acces a mon rpi depuis le bout du monde

Message par jackyhi »

Voici l’organigramme de mon installation :
Image
Fichiers joints
ReseauDomoticz Local complet.jpg
ReseauDomoticz Local complet.jpg (202.81 Kio) Vu 226 fois
Raspberry Pi 3, RFXCom, 6 volets BLYSS, 10 sondes Temp_humid , Custom page, Gateway Mysensors, RFLINK 433MHz, modules Zwave capteurs portes, 1 sonde Oregon Attiny85, Alarme avec 2 sirènes protocole BLYSS maison, Thermostat NETAMO

f-d-m
Messages : 82
Enregistré le : 25 juin 2019, 21:36

Re: Acces a mon rpi depuis le bout du monde

Message par f-d-m »

Bonjour Jackyhi,

une question, as-tu installé OpenVPN server sur le RPi où tourne Domoticz, ou bien sur un 2è RPi à côté ?
Modifié en dernier par Keros le 13 janv. 2022, 12:41, modifié 1 fois.
Raison : Citation supprimée
---
Bruxelles

RPi 3B, Domoticz 2020.2, SSD, PiZigate
IPX-800 V3
multiples Sonoff et similaires (Tasmota, ESPeasy), multiples appareils Zigbee
SMA Sunny Boy 3.6

boum
Messages : 161
Enregistré le : 18 janv. 2019, 11:34
Localisation : France

Re: Acces a mon rpi depuis le bout du monde

Message par boum »

Vu le schéma, c'est un RPi différent, connecté en RJ45 à la box internet. Le Rpi domotique est en Wifi.
Domoticz v2020.2 sur linux-mint / Z-Wave / RFXCom

jackyhi
Messages : 60
Enregistré le : 09 mai 2016, 23:49

Re: Acces a mon rpi depuis le bout du monde

Message par jackyhi »

Effectivement je l'ai installé sur un Rpi2 qui ne me servait plus. Il fonctionne sans domoticz juste Rasbian et ssh avec une IP fixe ce qui est préconisé par openvpn.
Raspberry Pi 3, RFXCom, 6 volets BLYSS, 10 sondes Temp_humid , Custom page, Gateway Mysensors, RFLINK 433MHz, modules Zwave capteurs portes, 1 sonde Oregon Attiny85, Alarme avec 2 sirènes protocole BLYSS maison, Thermostat NETAMO

Jeff
Messages : 852
Enregistré le : 17 nov. 2016, 20:54
Localisation : Rennes (35)

Re: Acces a mon rpi depuis le bout du monde

Message par Jeff »

Je suis en train d'essayer la même chose, j'ai un PI qui ne servait plus. On va voir si j'arrive enfin à récupérer un VPN avec android et ma freebox, leur vpn ne fonctionne plus avec android :?

Edit : ca marche nickel, quel bonheur de retrouver un vpn :D
Je sens quand même que mon Pi a dû mal à suivre...
Version: 4.9700; RFXCOM Rfxtrx433e ext/1007 ; Zwave (Z-stick GEN5, Fibaro...), Zigbee2MQTT.

f-d-m
Messages : 82
Enregistré le : 25 juin 2019, 21:36

Re: Acces a mon rpi depuis le bout du monde

Message par f-d-m »

Jeff a écrit : 13 janv. 2022, 20:33
Je sens quand même que mon Pi a dû mal à suivre...
Mon serveur VPN de secours est basé sur le package PiVPN et Raspbian. Je l'avais installé sur un Rpi de 1è génération model B, un coeur. Il écoute en TCP sur le port 443 de mon IP domestique. Je pensais m'en servir depuis l'Egypte, mais ils arrivent même à bloquer ça.
Question performance, 3 à 4 mégabits, c'est OK à très lent selon ce qu'on veut faire.

$ cat /proc/cpuinfo
processor : 0
model name : ARMv6-compatible processor rev 7 (v6l)
BogoMIPS : 697.95
Features : half thumb fastmult vfp edsp java tls
CPU implementer : 0x41
CPU architecture: 7
CPU variant : 0x0
CPU part : 0xb76
CPU revision : 7
$ cat /sys/firmware/devicetree/base/model
Raspberry Pi Model B Rev 2
Screenshot_20220117-141151.png
Screenshot_20220117-141151.png (358.19 Kio) Vu 40 fois
Screenshot_20220117-141235.png
Screenshot_20220117-141235.png (152.17 Kio) Vu 40 fois
---
Bruxelles

RPi 3B, Domoticz 2020.2, SSD, PiZigate
IPX-800 V3
multiples Sonoff et similaires (Tasmota, ESPeasy), multiples appareils Zigbee
SMA Sunny Boy 3.6

Répondre